Abbiamo dedicato numerosi articoli al CSF (Cybersecurity Framework) del NIST (National Institute of Standards and Technology), un modello universalmente condiviso, suddiviso in fasi, che aiuta a tracciare un percorso di tutte le attività utili alla gestione globale della Cybersecurity aziendale. Adottare il CSF del Nist è fondamentale perché sono tante le componenti che entrano in gioco quando si parla di “sicurezza” e utilizzarlo permette di non lasciare aree scoperte. Adesso facciamo un passo in avanti ed entriamo più nel dettaglio parlando di Risk Assessment, ovvero di Valutazione del rischio.
In cosa consiste l'analisi
Il Risk Assessment permette di mappare le criticità dell’azienda e di individuare le situazioni da risolvere con più urgenza anticipandone le possibili conseguenze. Si tratta di una valutazione globale di quelle che possono essere le aree di rischio dell’azienda, prendendo in considerazione il settore nel quale opera, i processi che avvengono al suo interno e le relazioni con l’esterno.
Le fasi del Risk Assessment
L’attività di Risk Assessment si può suddividere in 3 fasi:
-
Mappatura dei processi e degli asset specifici dell’azienda;
-
Individuazione delle criticità e dei rischi a cui si è esposti o si potrebbe andare incontro;
-
Valutazione del grado di rischio e della tipologia di impatto che ne potrebbe derivare.
Analisi e mappatura delle criticità
La parte iniziale è un’attività di analisi e mappatura del contesto e per svolgerla correttamente è necessario conoscere bene lo scenario di riferimento, perché solo così è possibile contestualizzare le vulnerabilità e le minacce a cui è esposta l’organizzazione. L’attenzione è rivolta alla raccolta delle informazioni e dei dati. Rientrano negli elementi analizzati le persone, gli asset, i processi; tutto questo fornisce una visione “dall’alto” in grado di evidenziare le criticità. Il vantaggio che ne deriva è poter mettere in atto strategie efficaci in grado prevenire potenziali minacce aumentando quindi il livello di security dell’infrastruttura aziendale.
Valutazione del rischio
Dopo aver identificato le possibili minacce si passa a valutare:
-
quanto è alta la probabilità che la minaccia si verifichi;
-
quale impatto potrebbe avere se si verificasse.
Per facilitare queste operazioni è utile avere uno storico con informazioni sugli eventi critici avvenuti in passato per capire come si sono verificati, da cosa hanno avuto origine e quali danni hanno provocato all’infrastruttura.
Differenza fra Risk Assessment e Vulnerability Assessment
Abbiamo descritto in cosa consiste il Risk Assessment, ovvero individuare e analizzare eventuali rischi a cui è esposta l’azienda, stilare un elenco delle priorità di intervento e un piano d’azione per contenerli. Adesso ci si potrebbe chiedere: qual è la differenza con il Vulnerability Assessment?
Il Risk Assessment considera la totalità della struttura, mentre il Vulnerability Assessment si focalizza sull’aspetto tecnologico. Nel prossimo articolo approfondiremo l’argomento del VA (Vulnerability Assessment) con i suoi vantaggi e punti di forza.
Se vuoi conoscere più nel dettaglio gli aspetti tecnici da tenere sotto controllo per la Valutazione del Rischio compila il form qui sotto e scarica la checklist: "Valutazione del rischio: 16 aspetti da tenere sempre sotto controllo".
